Перейти к содержанию

Рекомендуемые сообщения

Добрый вечер!

Сегодня обнаружили, что практически все файлы на windows server 2008 r2 зашифрованы, а в каждой категории лежат аналогичные файлы txt с посланием:

 

************************************************************
SYSTEM DAMAGED! FILES WILL BE DELETED!
URGENT ATTENTION!
************************************************************
To restore your files and access them, you need to pay 5 bitcoins
Bitcoins have to be sent to this address: 14HNKK5uJeZ2rt96Pi9K2U6jbpCWyRrz5M
After payment contact us to receive your password key.
Contact Email : repairme2017@keemail.me
With subject (Personal ID) : error66733200124
In order to purchase Bitcions you can use :
www.coinbase.com
www.localbitcoin.com
============================================================
IMPORTANT! IF YOU DON'T PAY IN MAXIM 24 HOURS ALL YOUR FILES
WILL BE PERMANENTLY DELETED!!!
============================================================
 
Бэкапы файлов есть, но не совсем свежие, возможно ли расшифровать данные?
 
В приложении отчеты из AutoLogger и Farbar Recovery Scan Tool
 

CollectionLog-2017.05.18-17.33.zip

frst-addition.zip

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DelCLSID('{44BBA840-CC51-11CF-AAFA-00AA00B6015C}');
 QuarantineFile('C:\Users\IUSR_S~1\AppData\Local\Temp\fe5O12u13h5ks6f.exe','');
 SetServiceStart('spoolsrvrs', 4);
 SetServiceStart('wcvvses', 4);
 SetServiceStart('werlsfks', 4);
 SetServiceStart('wscsvs', 4);
 DeleteService('wscsvs');
 DeleteService('werlsfks');
 DeleteService('wcvvses');
 DeleteService('spoolsrvrs');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe');
 QuarantineFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe','');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe');
 QuarantineFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe','');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wahiver.exe');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000a\0010\vmms.exe');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000e\0015\taskhostex.exe');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\ssms.exe');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\0015\0016\axperflib\spsvc.exe');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\0015\0016\axperflib\plugin-container.exe');
 TerminateProcessByName('c:\windows\system\msinfo.exe');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000a\0010\mms.exe');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\lsm.exe');
 TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\mms.exe');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000e\0015\mms.exe');
 QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\lsm.exe','');
 QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\mms.exe','');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\000e\0015\mms.exe','');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\000a\0010\mms.exe','');
 QuarantineFile('c:\windows\system\msinfo.exe','');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\0015\0016\axperflib\plugin-container.exe','');
 QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe','');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\0015\0016\axperflib\spsvc.exe','');
 QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\ssms.exe','');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\000e\0015\taskhostex.exe','');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\000a\0010\vmms.exe','');
 QuarantineFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wahiver.exe','');
 DeleteFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wahiver.exe','32');
 DeleteFile('c:\windows\system\msinfo.exe','32');
 DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\mms.exe','32');
 DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\lsm.exe','32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\000e\0015\mms.exe','32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\000a\0010\mms.exe','32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\0015\0016\axperflib\plugin-container.exe','32');
 DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe','32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\0015\0016\axperflib\spsvc.exe','32');
 DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\ssms.exe','32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\000e\0015\taskhostex.exe','32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\000a\0010\vmms.exe','32');
 DeleteFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe','32');
 DeleteFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe','32');
 DeleteFile('C:\Users\IUSR_S~1\AppData\Local\Temp\fe5O12u13h5ks6f.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Alcmeter');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
Перезагрузку компьютера выполните вручную.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

Ссылка на комментарий
Поделиться на другие сайты

Карантин, кажется, пуст.

Re: quarantine.zip [KLAN-6263709301]
newvirus@kaspersky.com
Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700 
http://www.kaspersky.com http://www.viruslist.com"

 

 


НОВЫЕ логи Autologger

CollectionLog-2017.05.19-07.55.zip

Изменено пользователем regist
убрал адрес почты, пока не заспамили
Ссылка на комментарий
Поделиться на другие сайты

А есть шифрованные doc или docx файлы? Если можно по десятку штук каждого типа.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
Startup: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2010-11-21] ()
Startup: C:\Users\Administrator2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2010-11-21] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2010-11-21] ()
Startup: C:\Users\IUSR_Servs\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO DECRYPT FILES.txt [2010-11-21] ()
S2 xWinWpdSrv; c:\windows\system\msinfo.exe -s -syn 1500 [X]
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Перезагрузку компьютера выполните вручную.
Ссылка на комментарий
Поделиться на другие сайты

Дешифратор работает!

Восстановил все документы и ярлыки.

Премного благодарен команде forum.kasperskyclub.ru, в частности - Thyrex!

Напоследок, что порекомендуете в отношении зараженного сервера?

-забрать файлы и переустанавливать ОС

-или можно как-то удалить вредоносное ПО, затем установить пакет обновления для windows (оставив машину в работе)?

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Aleks yakov
      Автор Aleks yakov
      Здравствуйте  шифровальщик заразил 2 пк в локальной сети (kozanostra)
      Новая папка.zip
    • Aleksandr Korolev
      Автор Aleksandr Korolev
      Добрый день. Недавно взломали RDP одного из рабочих пк, и через него зашифровали данные NAS , попробовали выкупить, сбросили только exe и ключи, расшифровывает, но работает дешифровщик секунд 10, второй раз запустить нельзя , блокируется. Можно ли что то с ним сделать? Сам дешифровшик тоже как вирус , потому что много изменений в реестр вносит , прилагаю файл изменений которые он вносит , сам exe и ключи user id и второй ключvirus.rarНовый текстовый документ.txt#README-TO-DECRYPT-FILES.txt
    • AlexYarm
      Автор AlexYarm
      Зашифровались файлы. Расширение файлов hardbit4. Прилагаю необходимые архивы. Прошу помочь с расшифровкой.
      Hardbit4Virus.zip
    • kaje_14
      Автор kaje_14
      Есть старый маленький локальный сервер, на нём есть 3 диска, точно заразился 1 из них, который общедоступный. Не все папки и файлы заразились. Запустил Cureit, он ничего не нашёл (точнее кажется не видит). Но во многих папках имеются файл с название --attention.hta, а зашифрованные файлы имеют свои наименования плюс добавилось такое: например блокнот.txt_[UID=YMG-MBMFV TelegramID=@recoveryfiles1].ano. У всех файлов расширение .ano. Были небольшие попытки расшифровать некоторые файлы с помощью декрипторов не помогло.
      Вирус точно зашел с ПК в сети, на котором недавно настраивал RDP, сам этот комп учетные записи заблокировались. Придется форматировать.
      Прикрепляю логи FRST, пару скриншотов (с безопасного режима всё делал), архив с примерами зашифрованных файлов, архив с файлом attention.hta и каким то подозрительным файлом (может это был свой файл зашифрованный). 
      Никакого текста с вымоганием пока не нашёл.
      Если где неправильно что-то оформил извините. Случай сегодня обнаружился, судя по времени изменения файлов всё произошло ночью по местному времени.FRST.txt


      Addition.txt Shortcut.txt кажется вирус имеются во всех папках.rar примеры зашифрованных файлов.rar
    • Greengo
      Автор Greengo
      Здравствуйте. У меня перестал работать центр обновлений windows. При попытке в него зайти либо просто закрывается окно, либо идёт очень долгая загрузка и выдаёт ошибку "что-то пошло не так". Также заметил, что в службах появились подозрительные дубликаты с припиской _bkp у той службы которая отвечает за центр обновления windows и ещё у нескольких: wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. При этом ни одна из этих служб не запускается выдавая ошибку. Сканировал пк через kvrt, тот обнаружил несколько троянских угроз которые он вылечил/удалил, но проблема осталась.
      CollectionLog-2025.06.20-14.17.zip
×
×
  • Создать...